+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

VPN SSTP для нескольких клиентов.

VPN SSTP для нескольких клиентов., RouterOS

niren

Guest

19.01.2014 15:04:00

Я настроил SSTP-сервер на нашем Mikrotik роутере, используя эти ссылки http://wiki.mikrotik.com/wiki/Manual:Interface/SSTP и http://wiki.mikrotik.com/wiki/SSTP_step-by-step. Пока что всё работает отлично, но не получается реализовать подключение нескольких клиентов с разными сертификатами.

Сейчас, чтобы подключить несколько клиентов, мне приходится устанавливать одни и те же сертификаты (ca.crt и client.crt) на всех клиентских ноутбуках, чтобы они могли подключиться к SSTP-серверу Mikrotik роутера. И мне нужно устанавливать одни и те же ca.crt и server.crt сертификаты на Mikrotik роутере, чтобы можно было использовать разные секреты для всех клиентов.

Я хочу: чтобы можно было создавать разные сертификаты с разными сроками действия для всех клиентов, которые подключаются к одному и тому же SSTP-серверу. Возможно ли это в SSTP VPN?

niren Guest	#2 0 04.02.2014 09:30:00 Ребята, если кому-то что-то непонятно, пожалуйста, дайте знать.

patrickmkt

Guest

04.02.2014 14:54:00

В каждом клиенте можно использовать разные клиентские сертификаты, если они подписаны одним и тем же CA. Сервер: CA.crt + Server.crt (подписан CA) + Server.key Клиент1: CA.crt + Client1.crt (подписан CA) + Client1.key Клиент2: CA.crt + Client2.crt (подписан CA) + Client2.key До сих пор использовал так без проблем на SSTP до версии 6.7, так как в версии 6.9 что-то сломано в стеке шифрования. Работает и с OVPN.

niren

Guest

06.02.2014 15:17:00

SSTP работает не так, как я ожидал. Я создал сертификат вручную, следуя этой ссылке: http://wiki.mikrotik.com/wiki/Manual:Create_Certificates#Import_certificates. Сертификаты установлены на SSTP сервере: server.crt + ca.crt. Сертификаты установлены на SSTP клиенте: client.crt + ca.crt. Сертификат выбран на SSTP сервере: ca.crt (если я выбираю server.crt, соединение не устанавливается). На SSTP клиенте ca.crt в TrustedRootCertificates, client.crt в Personal. Независимо от того, установлен ли client.crt или нет, соединение устанавливается после импорта ca.crt в TrustedRootCertificate, так как SSTP сервер выбрал ca.crt. Получается, после установки ca.crt с обеих сторон, нет необходимости устанавливать server.crt и client.crt. Если я импортирую и выбираю server.crt на SSTP сервере и импортирую client.crt в Personal на стороне клиента, соединение не устанавливается.

mrz

Guest

06.02.2014 15:34:00

Похоже, вы говорите про импорт ca.crt в TrustedRootCertificate, значит, клиенты у вас виндовс. Насколько я знаю, Microsoft не поддерживает двухстороннюю проверку сертификатов. Клиент Microsoft просто проверяет, подписан ли сертификат сервера CA из доверенного корневого списка. Это также указано в документации http://wiki.mikrotik.com/wiki/Manual:Interface/SSTP#Certificates

patrickmkt Guest	#6 0 06.02.2014 18:56:00 Как ты называешь server.crt, ca.crt и client.crt – это сертификаты с ключом (общественной и частной частью сертификата) или нет? Если ты вводишь полный сертификат CA (с его ключом) с обеих сторон, то это объяснит, почему все работает в твоей конфигурации. Ни у сервера, ни у клиентов не должно быть частной части CA, только общественная (то, что я называю ca.crt). Частная часть (ca.key) должна использоваться только на другом компьютере исключительно для подписи сертификатов клиента и сервера. Чтобы суммировать то, что я написал выше: на сервере у тебя должны быть общественные сертификаты для CA и сервера, и частный ключ для сервера. Сервер должен быть сертификатом, подписанным CA. На клиенте у тебя должны быть общественные сертификаты для CA и клиента, и частный ключ для клиента. Сертификат клиента должен быть подписан CA.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры